アクティブチェックを使用して Windows イベントログを監視する
はじめに
このガイドでは、アクティブチェックを使用して Zabbix で Windows のイベントログを監視する方法を説明します。Zabbix の Windows 固有のアイテムキーを使用すると、失敗したログオン試行やシステムエラーなどの重要なイベントをリアルタイムで収集・分析できます。
このガイドの対象者
このガイドは、Windows のイベントログを監視したい Zabbix の新規ユーザーおよびネットワーク管理者向けに作成されています。詳細な設定オプションについては、Windows 固有のアイテムキー のドキュメントを参照してください。
前提条件
このガイドを進める前に、OS の手順に従って Zabbix サーバーと Zabbix Webインターフェースをダウンロードしてインストールする必要があります。また、監視対象の Windows マシンに Zabbix エージェントをダウンロードしてインストールしておく必要があります。
Windowsイベントログ監視用にZabbixエージェントを設定する
1. Windowsホスト上で zabbix_agentd.conf(デフォルトパス C:\Program Files\Zabbix Agent\zabbix_agentd.conf)を開き、ServerActive パラメータがZabbixサーバーのIPアドレスに設定されていること、および Hostname パラメータが Zabbix Webインターフェース で定義するホスト名と一致していることを確認します。これにより、エージェントは自身のホストに対するアクティブチェックを、指定したZabbixサーバーから要求できるようになります。例:
ServerActive=192.0.2.1
Hostname=MyWindowsHost2. 変更を適用するため、Zabbixエージェントサービスを再起動します:
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Windowsホストが稼働していることを確認します:
- WindowsホストでZabbixエージェントサービスが実行中であることを確認します。
- Windowsホストがポート10051でZabbixサーバーに接続できることを確認します。Windowsホストから接続性をテストするには、PowerShellを開いて次のコマンドを実行します:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Zabbix Webインターフェースの設定
1. データ収集 > ホスト に移動し、ホストを作成します。
- ホスト名 フィールドに、ホスト名を入力します(例: "MyWindowsHost")。
- ホストグループ フィールドに、ホストグループを入力または選択します(例: "Event log Monitoring")。
- 追加 を押して、設定したホストを保存します。
テンプレート フィールドでは、同じホスト上の他のアクティブなアイテムが更新されているかどうかを確認することでトラブルシューティングに役立つように、"Windows by Zabbix agent active" テンプレートを追加できます。
2. 次のパラメータで新しいアイテムを作成します。
- 名前 フィールドに、説明的なアイテム名を入力します(例: "Security log: failed logon events")。
- タイプ ドロップダウンで、"Zabbix agent (active)" を選択します(Event log monitoring に必要です)。
- キー フィールドに、eventlog アイテムキーを使用します。たとえば、Security ログでのログオン失敗試行(Event ID: 4625)を監視し、アイテムの前回のチェックより古いエントリを無視する(
skipパラメータを使用する)には、次のアイテムキーを入力します:eventlog[Security,,,,4625,,skip] - 情報の種類 ドロップダウンで、"Log" を選択します。
3. 追加 をクリックして、アイテムを保存します。
収集したメトリクスのテストと表示
おめでとうございます。Zabbix は Windows のイベントログを収集するように設定されました。 イベントログが収集されていることを確認するには、Windows アカウントからログアウトし、誤った認証情報でログインを試行して、「Security log: failed logon events」アイテムをテストします。
次に、Zabbix Webインターフェースで収集されたログを表示します。
1. Zabbix Webインターフェースで Monitoring > Latest data に移動します。
2. Name フィールドで、"MyWindowsHost" ホストを指定してフィルタします。
3. History をクリックして、記録されたログ値を表示します。
4. ログ値が表示されない場合は、このガイドの Troubleshooting セクションに進んでください。
障害アラートの設定
このガイドでは、メールアラートを送信するための基本的な設定手順を説明します。
1. データ収集 > ホスト に移動し、イベントログアイテムが監視したいパターンを記録したときに発生するトリガーを定義します。たとえば、Security ログでログオン失敗を検出するには、find() 関数を使用します。
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. ユーザー設定 > プロファイル に移動し、メディア タブに切り替えて、メールアドレスを追加します。
3. 障害通知の受信 のガイドに従います。
次回 Zabbix が障害を検出したときに、メールでアラートを受け取れるはずです。
トラブルシューティング
Windowsイベントログの収集または表示で問題が発生した場合は、以下のヒントを使用して、よくある問題を特定し解決してください。
1. Zabbix サーバー (Linux) で、次のコマンドを使用して iptables ルールを一覧表示します。
sudo iptables -L -nそして、TCPポート 10051 に対する ACCEPT ルールがあることを確認します。
2. eventlog[...] キーが、Windows-specific item keys に示されているとおり、正確なログ名(大文字小文字を区別)、イベント ID、モード(例: skip)、およびその他のパラメータを使用していることを確認してください。
関連情報:
- アイテムの作成 - 追加のメトリクスを追加する方法を学びます。
- Microsoft Windows 上の Zabbix エージェント - 詳細なインストール手順。
- Zabbix エージェントで Windows を監視する - Zabbix エージェントを使用して Windows マシンの基本監視を設定するための包括的なガイド。
- Windows 固有のアイテムキー - イベントログ監視用のものを含む、Zabbix エージェントでサポートされる Windows 固有のアイテムキーに関する詳細情報。
- ログファイル監視 - Windows のイベントログにも適用できる、ログファイルの集中監視と分析のために Zabbix を設定する手順。